글로벌 로펌이 일루미오를 사용하여 랜섬웨어 공격을 차단한 방법

한 글로벌 로펌이 랜섬웨어의 공격을 받았습니다. 

공격은 12개의 서버로 빠르게 확산되었습니다.

공격자들은 전체 네트워크에 침투하여 회사를 인질로 잡을 준비가 되어 있었습니다. 

하지만 이 로펌은 준비가 되어 있었습니다. 일루미오가 있었습니다. 그리고 저희의 기술을 사용함으로써

• 단 12개 서버에 대한 공격 제한 
• 손상된 시스템을 식별하고 몇 초 만에 격리했습니다.
• 최초 침해 후 단 몇 시간 만에 공격 차단 
• 공격자가 민감한 데이터를 암호화하거나 도용하여 회사와 고객에게 피해를 입히기 전에 위협을 종료합니다.

이 게시물에서는 글로벌 로펌이 어떻게 전례 없는 속도로 랜섬웨어 공격을 막고 IT 시스템과 비즈니스, 그리고 가장 중요한 고객들에게 심각한 피해를 입히지 않았는지 설명합니다. 

몇 시간 만에 침입에서 퇴거까지: 공격 타임라인

재앙이었어야 했습니다.

이 로펌은 전 세계 수십 개 지역에 수천 명의 사용자, 서버, 워크스테이션을 보유하고 있었습니다. 이 회사는 수백 명의 고객을 보유하고 있었고 디지털 인프라에 수많은 민감한 데이터와 법률 문서를 저장했습니다.

이 회사는 랜섬웨어의 주요 표적이었는데, 어느 날 이런 일이 발생했습니다. 공격을 받았습니다. 

하지만 공격은 실패했습니다. 사이버 범죄자들은 몇 시간 만에 퇴거당했습니다. 로펌의 사고 대응을 이끌었던 IT 담당 임원이 Illumio에 알려준 사고 경위는 다음과 같습니다.

이 사건의 민감한 성격으로 인해 모든 이름과 구체적인 신원 확인은 보류되었습니다.

최초의 침해: 월요일 이른 오후

이 회사의 직원 중 한 명이 공격자에게 피해를 입은 고객으로부터 피싱 이메일을 받았습니다.

"해커들은 교활했습니다."라고 이 임원은 말합니다. "Excel 파일로 추정되는 URL을 보냈는데 하이퍼링크가 아니었습니다. 그래서 직원이 브라우저에 URL을 복사하여 파일을 다운로드했습니다."

하지만 아무 일도 일어나지 않았습니다. 그래서 그녀는 악성 코드인 줄도 모르고 회사 IT 헬프 데스크에 연락하여 파일에 액세스하는 데 도움을 요청했습니다.

오후 2시: 공격 시작 

헬프 데스크 직원이 URL을 자신의 브라우저에 복사했습니다. 이로 인해 무기화된 파일이 멀웨어를 실행하게 되었습니다. 

"엑셀 파일은 매크로를 실행하여 악의적인 공격자가 워크스테이션을 손상시키고 계정 권한에 액세스할 수 있게 했습니다."라고 이 임원은 설명합니다.

오후 2시 - 오후 3시 40분: 공격자가 탐지되지 않음

IT 기술자의 컴퓨터는 거의 2시간 동안 온라인 상태였고 확인되지 않았기 때문에 범죄자들은 공격을 가장 잘 수행할 수 있는 방법을 탐색하고 평가할 시간을 가졌습니다.

"악의적인 공격자들은 네트워크 스캔을 매우 신중하고 천천히 수행했기 때문에 그들의 움직임은 거의 감지할 수 없었습니다."라고 그는 말합니다.

결국 공격자들은 헬프 데스크 워크스테이션에서 획득한 권한으로 액세스할 수 있는 서버를 찾아냈습니다. 이때가 바로 그들이 총을 쏜 때입니다.

오후 3시 40분 - 오후 4시: 공격자들이 움직이기 시작하다

공격자는 처음에 SQL 서버의 데이터베이스 파일을 암호화했습니다. 이로 인해 서버가 다운되었습니다. 로펌의 IT 그룹은 즉시 충돌을 발견하고 조사한 결과 랜섬웨어의 징후를 발견했습니다. 

"오후 6시에 데이터베이스 관리자가 전화해서 랜섬웨어에 감염된 것 같다고 말했습니다."라고 그는 말합니다.

오후 4시 - 오후 4시 50분: 워룸 만들기

IT 임원은 CIO에게 이 사실을 알렸습니다. 어떤 CIO도 받고 싶지 않은 전화였습니다. 그는 최악의 상황을 두려워했습니다. 그들은 시간이 촉박하다는 것을 알고 있었습니다.

로펌은 신속하게 대응을 조율해야 했습니다.

"약 15분 만에 Zoom 통화를 개설하고 IT 및 보안 팀원들을 만났습니다."라고 그는 설명합니다. "우리는 로그를 분석하여 어떤 일이 일어났고 이미 어떤 정보가 유출되었는지 알아냈습니다."

오후 4시 50분 - 오후 6시 15분: 공격에 대한 이해

"우리는 악성 URL과 랜섬웨어 파일을 호스팅한 IT 헬프 데스크 워크스테이션인 '환자 0'을 가리키는 로그를 빠르게 찾아냈습니다."라고 그는 말합니다.

하지만 그것만으로는 충분하지 않았습니다. 그들은 공격이 다른 곳으로 확산될 수 있는지를 알아야 했습니다. 

“At that point, the minutes are ticking by,” the executive explains. “We quickly isolated that workstation and started looking at the environment as a whole to understand the scope of the attack.”

대응팀은 해커를 추적하는 데 도움을 주기 위해 관리형 보안 서비스 제공업체(MSSP) 를 투입했습니다. 

MSSP는 일루미오의 실시간 애플리케이션 트래픽 데이터가 포함된 보안 정보 및 이벤트 관리(SIEM) 툴을 사용하여 SIEM을 쿼리하고 공격자가 Microsoft Azure에서 실행되는 클라우드 기반 서버 1개를 포함하여 다른 11개의 서버에 접속한 것을 확인할 수 있었습니다.

팀이 작업하는 동안 실시간 원격 분석을 통해 공격의 범위가 눈앞에서 확장되고 있음을 확인할 수 있었습니다. 시간이 얼마 남지 않았습니다. 

오후 6시 20분 일루미오가 공격 종료

로펌은 유출을 막기 위해 신속하게 조치를 취해야 했습니다.

Using Illumio, the team was able to immediately put all 12 servers — including the Azure cloud instance — into a segmentation ring-fence, with no access to the network or computing resources.

결국, 이 조치가 공격을 저지하는 데 결정적인 역할을 했습니다. 

"말 그대로 몇 번의 드래그 앤 드롭 클릭만으로 영향을 받은 모든 시스템을 격리할 수 있었습니다."라고 이 임원은 말합니다. "기존 방식으로 이를 해결하려 했다면 훨씬 더 오랜 시간이 걸렸을 것이고, 악의적인 행위자들이 다른 시스템으로 이동하여 계속 확산할 수 있는 충분한 기회를 제공했을 것입니다. 일루미오를 통해 즉시 차단할 수 있었습니다. 그들은 우리를 피해 다른 곳으로 뛰어넘어 계속 퍼져나갈 방법이 없었습니다. 저녁의 즐거움은 끝났습니다."

오후 6시 20분 - 오전 1시: 피해 평가

위협은 끝났지만 아직 해야 할 일이 남아있었습니다. 

이 임원은 "공격자들이 우리 데이터를 훔쳤는지 확인하기 위해 전체 공격을 조사해야 했습니다."라고 말합니다. "로펌으로서 데이터를 잃어버리면 고객에게 알려야 합니다. 그렇게 하면 평판에 큰 타격을 입힐 수 있습니다."

He engaged an incident response (IR) firm to investigate the attack’s full scope. 

화요일 - 금요일: 유출된 데이터의 증거 찾기 

로펌의 IT 그룹은 IR 회사의 소프트웨어 에이전트를 설치한 다음 Illumio를 사용하여 손상된 컴퓨터에서 파일을 안전하게 전송했습니다(실수로 재감염되는 일이 없도록 하기 위해). IR 팀이 일을 시작했습니다. 

"거기서부터 기다리기만 하면 되었습니다."라고 이 임원은 말합니다.

지난 주말, IR 팀은 조사를 마무리했습니다. 

"그들은 돌아와서 다른 시스템이 손상되지 않았다고 말했고, 데이터 유출이 없었다는 것을 확인했습니다."라고 그는 말합니다. 

이보다 더 좋은 소식이 있을 수 없습니다. 그리고 그 결과는 전례 없는 것이었습니다. 

"사고 대응 팀부터 MSSP에 이르기까지 모두가 랜섬웨어 공격에 이렇게 빠르게 대응하는 기업은 처음 봤다고 말합니다."라고 이 임원은 말합니다. "공격이 워낙 빠르게 확산되기 때문에 12개 시스템으로 제한하는 것은 전례가 없는 일이라고 합니다. 하지만 일루미오 덕분에 그렇게 할 수 있었습니다."

더욱 쉬워진 랜섬웨어 방어

The IT executive says that while Illumio was pivotal in reactively stopping the breach, its deployment of Illumio’s Zero Trust Segmentation capabilities prior to the breach also made a critical difference. 

Though the company is only about 40 percent complete with its Illumio deployment, the access controls already in place greatly restricted the pathways and options the hackers had available during the attack, helping slow them down and significantly limit what they could access once inside the network.

"환경을 세분화하기 위해 일루미오를 도입하지 않았다면 이번 공격은 훨씬 더 심각했을 것입니다."라고 이 임원은 말합니다. "악의적인 공격자들은 워크스테이션에서 여러 경로를 찾아 훨씬 더 멀리, 훨씬 더 빠르게 퍼졌을 것입니다."  

The lessons from the law firm’s successful defense of a ransomware attack are clear: Have the right leadership, the right teams, and the right controls in place to be ready to respond immediately when a breach happens. 

“It’s only a matter of time before you have your own breach,” the executive says. “In this day and age, it’s essential to implement microsegmentation to limit lateral movement when hackers or malware inevitably get into your network. Illumio allowed us to do this in ways that just weren’t possible before. It made all the difference.”

지금 바로 일루미오를 도입하여 랜섬웨어가 회사를 인질로 삼기 전에 랜섬웨어를 막을 준비를 하세요. 

• Read the full case study for more details on the firm's attack.
• Get the Zero Trust Impact Report for research on how organizations are approaching Zero Trust and seeing quantifiable benefits from implementing segmentation.
• Find out how to implement fast, simple and scalable Zero Trust Segmentation in our guide Achieving Zero Trust Segmentation With Illumio.
• Schedule a free consultation and demo with our Zero Trust Segmentation experts.